CMP

[Name CMP]

header-monitoring
service_google

[Name CMP]

[Name CMP] ist eine Consent Management Platform, mit der sich die Zustimmung oder Ablehnung zu den auf der Website verwendeten Diensten verwalten lässt.

Sitz: [Stadt, Region, Land]
Kategorie:
CMP
Rechtsgrundlage: Einwilligung nicht erforderlich
Inhalt des Beitrags

    Was ist [Name CMP]?

    [Name CMP] ist eine Consent Management Platform, mit welcher du die Einwilligungen der Nutzer verwalten kannst. Du bist gesetzlich dazu verpflichtet (Art. 7 Abs. 1 DSGVO), nachzuweisen, dass der Nutzer der Verarbeitung seiner personenbezogenen Daten zugestimmt hat. Auch muss der Nutzer seine Einwilligung jederzeit widerrufen können (Art. 7 Abs.. 3 DSGVO).  Die CMP ist also das zentrale Tool um deinen Datenschutz zu verwalten. [Satz speziell über diesen Service einbauen. Z.b. die Reputation des Dienstes]

    Warum wird [Name CMP] verwendet?

    Wenn durch deine Website in irgendeiner Weise personenbezogene Daten verarbeitet werden, so liegt es in deiner Verantwortung, genau aufzuzeigen, durch wen, wofür, wie und wie lange die Daten verarbeitet werden. Um diesen Anforderungen gerecht zu werden, wirst du höchstwahrscheinlich nicht drum herum kommen eine CMP zu verwenden. Das ist aber überhaupt nicht wild, denn der Vorteil den dir eine CMP liefert, wirst du nicht missen wollen! [Speziellen Satz zum CMP vielleicht noch einbauen]

     

    Welche Daten werden verarbeitet?

    Wenn du die CMP von [Name CMP] verwendest, werden folgende Daten gesammelt:

    [Bei Usercentrics sind z.B. diese Daten aufgeführt:

    • Opt-in- und Opt-out-Daten
    • Referrer URL
    • User Agent
    • Benutzereinstellungen
    • Consent ID
    • Zeitpunkt der Einwilligung
    • Einwilligungstyp
    • Template-Version
    • Banner-Sprache]

    [Deutsche Dienste stellen häufig das Thema Datenschutz in den Vordergrund. Das ist die erste Anlaufstelle (eigene Beschreibung) um herauszufinden wie welche personenbezogenen Daten erhoben, bzw. nicht erhoben werden. Wenn der Dienst etwas gut macht in Bezug auf Datenschutz kann man das auch gerne nennen.][Als nächstes kann man in die DSE des Dienstes schauen was dort zur Verarbeitung personenbezogener Dienste steht. Wichtig: Es muss sich auf den Dienst beziehen, nicht darauf wie z.B. die Website des Dienstanbieters Daten verarbeitet.][Zuletzt kann noch in die DSEs geschaut werden von Kunden des Dienstes, also dort wo der Dienst schon aktiv eingebaut wurde. In der DSE sollte aufgeührt sein welche und wozu der Dienst Daten erhebt.][Als Tipp: Man kann sich natürlich auch über Suchmaschinen informieren, was andere Datenschützer vielleicht schon über den Dienst geschrieben haben. Hier kann man auch nützliche Infos bekommen.]

    ***Platzhalter CTA***

     

     

     

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist [Name CMP] nicht Einwilligungspflichtig?

    • Es handelt sich nicht um einen US-amerikanischen Anbieter
    • Es werden zwar personenbezogene Daten verarbeitet, du kannst dich aber auf Art. 6 Abs. 1 lit. c DSGVO beziehen
    • Es wird zwar auf den Local Storage zugegriffen, aber du kannst dich auf Art. 25 Abs. 2 Nr. 2 TTDSG beziehen

    Damit sind die oben aufgeführten Punkte irrelevant. Ansonsten hättest du prüfen müssen, ob alle der oben genannten Punkte erfüllt sind und erst dann wäre der Einsatz ohne vorherige Einwilligung möglich gewesen. Da du dich aber darauf berufen kannst, dass der Dienst zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO), und auch der Zugriff auf das Endgerät des Nutzers durch Art. 25 Abs. 2 Nr. 2 TTDSG gedeckt ist, ist keine Einwilligung nötig.

    Fazit zur datenschutzkonformen Nutzung von [Name CMP]

    Die CMP soll dir die Arbeit beim Thema Datenschutz erleichtern, da ist es auch nur richtig wenn der Dienst keine extra Einwilligung benötigt. Achte nur darauf, dass du keinen US-Anbieter wählst, das würde die Sache unnötig kompliziert machen.

    Wenn du [Name CMP] verwendest muss [Name CMP] nur als essenzieller Dienst aufgeführt werden, was aber standardmäßig der Fall ist, also musst du dir da keine Gedanken machen.

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an